Network Manage Tech Experience

Welcome to my tech home !!!
posts - 32, comments - 35, trackbacks - 0, articles - 0
  IT博客 :: 首页 :: 新随笔 :: 联系 :: 聚合  :: 管理

CheckPoint建立NATed的VPN方法二

Posted on 2008-03-31 18:43 chris_lee 阅读(1137) 评论(1)  编辑 收藏 引用 所属分类: Nokia&CP技术篇
Google 标签: , ,

1,场景分析:

某公司A内部有一台主机a需要通过VPN访问公司B的一主机b的FTP服务,同时这台主机a还需要通过此防火墙访问外网。但是双方都不能爆楼自己的内网地址,也就是说主机a需要在流出本地端后经过NAT成另外一个地址到公司B与主机b通讯。这就涉及到了需要在CheckPoint上建立VPN,NAT(非host的nat)以及不同策略等。下面假设拓扑图如下:

clip_image002

 

image

例如:Host1到host4的数据流应该是192.168.11.1到192.168.111.1的,但是需要在checkpoint上面做好nat和vpn的访问策略,所以在192.168.11.1访问192.168.112.1(对端会将192.168.111.1经过nat到192.168.112.1)在CP上会将源地址经过NAT成192.168.12.1然后经过vpn加密的策略路由到192.168.112.1,到达对方后先进行VPN的解密然后将目的地址NAT成192.168.111.1。

2NAT策略安装

NAT策略安装如下图:

clip_image004

策略1表示192.168.11.1访问192.168.112.1的数据模型;

策略2表示192.168.112.1返回到192.168.12.1的数据模型;

策略3就是192.168.11.0/24访问其他网段的需要将源地址NAT成1.1.1.0/29网段的模型。

3VPN配置

这里需要注意的就是VPN_Domain。本地端VPN_Domain_loc包含192.168.11.1-3和192.168.12.1-3。而对端VPN_Domain_rem包含192.168.112.1-3。VPN的其他参数请参考“CheckPoint 建立NATed的VPN实现方法一”。

4,访问策略部署

访问策略应该为源地址为192.168.11.1-3,目的为192.168.112.1-3的80服务,经过上面的VPN加密。而返回的数据则是源地址为192.168.112.1-3到192.168.11.1-3经过上面的VPN解密。策略的其他部署信息请参考“CheckPoint 建立NATed的VPN实现方法一”。

5,日志检测

Host访问其他internet网络的日志信息如下:

clip_image006

从此日志很明显可以看出访问internet的网络经过NAT“XlateSrc”,匹配策略14。

而host1访问对方host4的日志如下:

clip_image008

同样可以明显看出经过来NAT“XlateDst”,匹配了策略13和NAT策略2。

需要注意的是后面的几个图不是此场景分析中的图例,只是那这些做一个示例而已。

Feedback

# re: CheckPoint建立NATed的VPN方法二  回复  更多评论   

2009-01-09 14:30 by 升降平台
oplik
只有注册用户登录后才能发表评论。